Scrubbing Center – tajemnicze rozwiązanie, które uchroni Twoje dane przed atakami hakerów?

bezpieczeństwo
Scrubbing Center
Krzysztof Surgut
22.09.2017 Krzysztof Surgut

Scrubbing Center to dość mało znane pojęcie na polskim rynku informatycznym. Taki stan rzeczy wynika z faktu, iż tego typu obiektów nie ma za dużo na całym świecie.

Scrubbing Center to miejsce w sieci Internet, w którym dokonywana jest analiza ruchu IP w celu wykrycia w nim wszelkich zagrożeń, począwszy od wykrywania ataków DDoS, poprzez wykrywane ataków na serwisy internetowe, kończąc na aktywności związanej ze szkodliwym oprogramowaniem (malware). Głównym jego zadaniem jest odfiltowywanie z analizowanego ruchu IP wszelkich zagrożeń, która mogą mieć negatywny wpływ na poprawne działanie serwisów internetowych, czy lokalnych sieci komputerowych.


Scrubbing Center


Scrubbing Center budowane są jako centralne węzły, które posiadają łącza internetowe o bardzo dużej przepływności. Przepływność jest szczególnie ważna w przypadku, gdy prowadzony jest wolumetryczny atak DDoS. Ten typ ataku DDoS sprawia, że na wskazany adres IP napływa z całego świata duża ilość pakietów. Zadaniem Scrubbing Center jest przyjęcie napływającego ruchu oraz jego analiza. A wszystko po to, aby odfiltrować to co jest niechcianym, sztucznie wygenerowanym ruchem IP, od rzeczywistej aktywności użytkowników sieci Internet. Przekierowanie ruchu IP do Scrubbing Center sprawia, że niwelujemy podstawowy problem jakim jest ograniczona wydajność zwykłego łącza internetowego. W przypadku Polski, najczęściej firmy wykorzystują łącza o przepływności 200-300Mb/s. Natomiast wolumetryczne ataki DDoS sprawiają, że na takie łącze napływa 20-50 razy większy ruch, niż jest ono w praktyce obsłużyć. W efekcie takiego ataku, pomimo tego że łącze internetowe jest sprawne technicznie, to nie można się nim komunikować. Przyczyną jest zbyt duża ilość pakietów trafiających na zaatakowane łącze internetowe, z którym nie można sobie poradzić. W dodatku nie bardzo wiadomo, które pakiety są rzeczywiste, a które są sztucznie wygenerowane. Przekierowanie ruchu do Scrubbing Center powoduje, że sztucznie wygenerowany ruch IP jest odfiltrowywany, a na chronione łącze trafia wyłącznie rzeczywisty, prawidłowy ruch IP.

Dobrze zaprojektowane i zarządzane Scrubbing Center jest w stanie ochronić przed cała gamą ataków. Począwszy od ataków DDoS, przez ataki aplikacyjne, po ataki na protokoły TCP/IP. W przypadku ataków DDoS, Scrubbing Center chroni przed atakami wolumetrycznymi, czyli atakami spowodowanymi napływaniem sztucznie wygenerowanych pakietów IP. Scrubbing Center chroni także przed atakami DDoS typu aplikacyjnego, czyli takim zachowaniom, których zadaniem jest wyczerpanie zasobów informatycznych atakowanego serwisu informatycznego. Takim serwisem może być serwer, może być router czy przełącznik sieciowy. W wyniku aplikacyjnego ataku DDoS sztucznie alokowane są takie zasoby jak pamięć czy moc obliczeniowa procesorów. W ten sposób aplikacyjny atak DDoS potrafi wyczerpać dostępne zasoby informatyczne, których zabraknie dla obsługi ruchu od rzeczywistych użytkowników. Tym samym zaatakowany urządzenie, czy system, przestaje pełnić swoją funkcję.

Zadanie jakie wykonuje Scrubbing Center często są mylone z zadaniami jakie realizują firewalle. Scrubbing Center realizuje dużo szersze spektrum działań ochronnych, niż robią to firewalle. Mówiąc ogólnie, Scrubbing Center to także firewall, ale ponadto także szereg innych systemów i procedur ochronnych, których zadaniem jest przeanalizowanie ruchu IP i wykrycia niepożądanych działań. Podobnie jak w wielu innych systemach informatycznych, wyposażenie Scrubbing Center także ma swoje wymagania. Po pierwsze systemy ochronne powinny być w sposób ciągły aktualizowane – czyli uzbrajane w wiedzę i sposoby reagowania na coraz to nowsze metody ataków hakerskich. Ponadto Scrubbing Center powinno być tak zaprojektowane, aby maksymalnie ograniczyć wpływ jakiejkolwiek awarii, na jego poprawne działanie – dotyczy to zarówno działania urządzeń sieciowych, ale także systemów zasilania, systemów chłodzenia, systemów monitorowania i analizy ruchu IP, itd. Dobre Scrubbing Center powinno bazować na osiągnięciach firm, które są najlepsze w danej dziedzinie ochrony. W ten sposób Scrubbing Center staje się miejscem, w którym działa szereg wysokiej klasy urządzeń do analizy i ochrony systemów informatycznych. Centralne posadowienie tych systemów w Scrubbing Center i udostępnienie ich dla wielu klientów sprawia, że bardzo mocno spadają koszty korzystania z tych systemów (w porównaniu do sytuacji, gdy kupujemy takie systemy dla ochrony tylko jednej firmy).

DataSpace budując pierwsze w Polsce Scrubbing Center postawiło sobie parę kluczowych wymagań. Po pierwsze system powinien być mocno zautomatyzowany – w ten sposób drastycznie skraca się czas wykrycia ataku oraz zareagowania na ten atak. Ma to kluczowe znaczenie z uwagi na fakt, iż hakerom czasami wystarczy parę minut czasu, aby przygotować sobie „obejście” systemów zabezpieczeń stosowanym na zwykłym łączu internetowym. Po drugie niezawodność – Scrubbing Center firmy DataSpace zbudowane jest w architekturze operatorskiej, czyli w modelu active-active. Ten model gwarantuje, że w przypadku awarii jednego z urządzeń, drugie urządzenie przejmuje jego funkcje, a jednocześnie zapasowe urządzenie ma pełną wiedzę o aktualnych konfiguracjach i ustawieniach każdego chronionego klienta. Trzecim ważnym składnikiem Scrubbing Center jest ciągła aktualizacja wszelkich sygnatur i procedur wykrywających i reagujących na każdy z ataków. Aktualizacja systemów Scrubbing Center gwarantuje, że jest ono przygotowane na nowe typy ataków. DataSpace oparł swoje Scrubbing Center na światowej klasie rozwiązaniu firmy Radware, która specjalizuje się w rozwiązaniach dla Scrubbing Center. Ponadto firma Radawre posiada własne, kontynentalne Scrubbing Center, które wymieniają się aktualnymi informacjami o wykrytych i trwających atakach w różnych częściach świata. Ten mechanizm sprawia, że systemy Radware na bieżąco znają źródła trwających ataków, ich charakter oraz metody stosowane przez hakerów.


Użytkownicy


Kto może potrzebować Scrubbing Center? Właściwie każda z firm, której biznes mocno uzależniony jest od sprawnie działających systemów informatycznych. Dotyczy to firm praktycznie z każdego sektora gospodarki, począwszy od sklepów internetowych, przez duże bazy danych, aż po systemy logistyczne czy nadzoru działania rozległych instalacji (np. sieci energetycznych, sieci rurociągów, sieci bankomatów itd.). W praktyce wyznacznikiem potrzeb nie jest wielkość firmy, ale jej biznesowa podatność na ataki hakerskie. Wbrew pozorom niewielka firma produkująca jogurty, może doświadczyć sporych kłopotów, jeżeli zaatakowany zostanie jej system logistyczny. Żywność szczególnie jest wrażliwa na czas transportu, liczony od momentu wyprodukowania do momentu pojawienia się towaru na półce. Awaria systemu informatycznego, który potrwałby parę dni może powodować olbrzymie straty takiej firmy spożywczej. Wydawać by się mogło, że produkowanie jogurtów nie ma nic wspólnego z Internetem, to jednak zaburzenie działania systemu logistycznego przekłada się na realne, bardzo dotkliwe straty takiej firmy.

Jaki jest główny atut Scrubbing Center?

Zakup własnego rozwiązania informatycznego, które potrafiłoby chronić przed całą gamą ataków hakerskich to wielomilionowa inwestycja dotycząca zarówno zakupu sprzętu, jak również specjalistycznego szkolenia personelu. Scrubbing Center jako „usługa do wynajęcia” sprawia, że koszty rozkładają się na więcej niż jedną firmę. Tym samym dostęp do najnowszych technologii i wysoko wykwalifikowanej kadry znacząc się obniża. Nie bez znaczenia jest fakt, iż w Scrubbing Center nadzór na atakami z sieci realizowany jest w trybie ciągłym, czyli 24/7/360. Podczas, gdy większość firm w Polsce pracuje w trybie 8-godzinnym, zapominając przy tym, że ataki w sieci nie mają ograniczeń czy harmonogramów czasowych. Atak na system księgowy, system logistyczny, czy system sterowania może nastąpić w środku nocy, w niepracujący dzień. W przeciętnej firmie, nikt wówczas nie pracuje w dziale IT.

Czy Scrubbing Center ma jakieś wady?

W przypadku, gdy Scrubbing Center jest używane jako miejsce, gdzie permanentnie trafia ruch każdego z klientów, to raczej trudno jest znaleźć wadę takiego rozwiązania. Sytuacja jest trochę odmienna, gdy świadczona jest usługa Scrubbing Center jako uzupełnienie ochrony, gdzie ruch IP trafia do analizy dopiero w momencie wystąpienia efektów ataku. W takiej sytuacji Scrubbing Center pozbawione jest całej gamy informacji, która budowana jest w czasie analizy rzeczywistego ruchu IP – w czasie, gdy nie ma żadnego ataku. Użycie Scrubbing Center, bez procesu poznawczego zwykłego zachowania użytkowników chronionego zasobu informatycznego, wprowadza pewien element „niewiedzy”, która wymaga czasu. Ta „niewiedza” skutkuje trochę dłuższym czasem reagowania na atak, a także gorszą wykrywalnością ataków, które upodabniają się do rzeczywistego ruchu IP. Te wszystkie wady znikają w przypadku, gdy ruch IP chronionego Klienta jest analizowany bez przerwy – wówczas budują się specjalne algorytmy Sztucznej Inteligencji, która podczas ataku jest w stanie wychwycić każdy z potencjalnych ataków hakerskich i doskonale odróżnić ruch rzeczywisty od sztucznie wygenerowanego.


Podsumowanie


Korzystanie z usług Scrubbing Center to przede wszystkim cała gama zalet. Począwszy od wykorzystywania najbardziej zaawansowanych technologii do wykrywania i przeciwdziałania atakom hakerskim, poprzez gwarancję dużej niezawodności i dostępności tych systemów, kończąc na notorycznym nadzorze i analizie ruchu IP w trybie 24/7/365. Jak dołożymy do tego dostęp do wysoko wykwalifikowanych specjalistów od cyberbezpieczeństwa to okaże się, że każde inne rozwiązanie problemu ochrony staje się nic niewartą alternatywą.

Dlatego zanim wydasz pieniądze na zakup jakiegoś systemu informatycznego do ochrony, to zastanów się, czy stać się na niego, czy też będziesz musiał kupić dużo tańszą alternatywę? Dołóż do tego fakt, iż specjalistów ds. cyberbezpieczeństwa wciąż jest za mało na rynku, a tym samym ich usługi są bardzo drogie. Nie zapomnij też, że praktyczne wyszkolenie własnego specjalisty ds. cyberbezpieczeństwa to proces liczony w latach, a nie tygodniach. Jak do tego dołożysz fakt, iż w dni niepracujące oraz w nocy nikt nie nadzoruje Twoich systemów informatycznych, które mogą być celem ataków hakerów. To te wszystkie dylematy i wątpliwości nie pozostawiają złudzeń – w zakresie cyberochroną – Scrubbing Center to optymalny wybór, przy którym masz ciągły nadzór nad bezpieczeństwem i gwarancję, że narzędzia użyte do ochrony pochodzą z najwyższej półki.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
General
#DC_END, czyli krótki podręcznik przetrwania dla biznesów Data Center w Polsce
Infrastruktura IT
Czym się różni Centrum Danych od serwerowni?
   /   Bezpieczeństwo IT   /   Scrubbing Center – tajemnicze rozwiązanie, które uchroni Twoje dane przed atakami hakerów?